Governo recomenda prontidão para vulnerabilidade de alto risco Citrix Bleed
O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) recebeu de parceiros internacionais informações relevantes sobre explorações recentes da vulnerabilidade CVE-2023-4966, também conhecida como “Citrix Bleed”. Detalhes sobre a vulnerabilidade estão disponíveis em: https://nvd.nist.gov/vuln/detail/CVE-2023-4966
A exploração da vulnerabilidade pode ser utilizada por agentes adversos que empregam o ransomware, software malicioso que visa criptografar os dados com o objetivo de exigir um resgate financeiro, além de exfiltrar dados sensíveis em um processo de dupla extorsão.
A Citrix publicou atualizações de segurança para solucionar a vulnerabilidade, considerada de alta severidade, que afeta os produtos NetScaler ADC e NetScaler Gateway, para tanto deve-se instalar as versões atualizadas do NetScaler ADC e NetScaler Gateway o mais rápido possível.
O CTIR Gov recomenda às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições, que verifiquem no mapeamento de ativos do órgão ou entidade a existência dos produtos afetados e providenciando sua imediata atualização. Sugere ainda:
Verificar se seus sistemas estão vulneráveis à CVEs conhecidas, em particular à CVE-2023-4966, tomando as medidas de mitigação ou corretivas, conforme necessário;
Rever os logs de tráfego de rede em busca de atividades relacionadas ao endereços IPs com trafego HTTP;
Observar e investigar atividades anômalas de usuários, como a introdução de ferramentas suspeitas nos sistemas, a criação de novas contas, eventos de varredura tipo “5140(S, F) compartilhamento de rede foi acessado”, ou a execução de comandos suspeitos;
Manter um alto grau de monitoramento e prontidão, particularmente quanto a análise de logs de mudanças de IP e logins de geolocalizações suspeitas;
Manter os sistemas operacionais e aplicativos dos processos críticos ao negócio do órgão sempre atualizados;
Utilizar usuários administradores diferentes dos gestores de domínios;
Adotar e executar processo de gestão de vulnerabilidades em sua rede;
Restringir e monitorar a utilização de serviços de acesso remoto, como RDP por exemplo;
Limite a disponibilidade das ferramentas Rclone, dControl, Xcopy, Mimikatz, WinSCP, PsExec e Network Scanner;
Adotar política de Senhas Fortes incentivando aos usuários a criar senhas complexas e exclusivas para suas contas. Além disso, é importante propor um segundo fator de autenticação;
Utilizar ativos de segurança, em particular firewalls e antimalware, sempre atualizados para proteção contra ameaças, inclusive de endpoints;
Implementar uma política de mínimo privilégio, permitindo aos usuários exercer ações na rede restritas ao desempenho de suas funções organizacionais;
Realizar backups regulares de dados importantes, mantendo-os off-line, e testar a restauração para garantir a disponibilidade de informações em caso de incidente, particularmente com ransomware; e
Ter um plano de prevenção, tratamento e resposta a incidentes em vigor, que inclua ações para conter, tratar e recuperar os ativos perante ataques ou violações de segurança.